Conficker Worm получает злого двойника

Преступники за распространенным червем Conficker выпустили новую версию вредоносного ПО, которая может сигнализировать о значительном изменении способа работы червя.

Новый вариант, получивший название Conficker B ++, был обнаружен три дня назад исследователями SRI International, которые опубликовали подробные сведения о новом коде на Четверг. Для неподготовленного глаза новый вариант выглядит почти идентично предыдущей версии червя Conficker B. Но вариант B ++ использует новые методы для загрузки программного обеспечения, предоставляя его создателям большую гибкость в том, что они могут делать с зараженными машинами.

Conficker-зараженные машины могут использоваться для неприятных вещей - отправка спама, запись нажатий клавиш или запуск атак типа «отказ в обслуживании» (DoS), но специальная группа, называющая себя Conficker Cabal, в значительной степени помешала этому. Они держали Conficker под контролем, взломав алгоритм, используемый программным обеспечением, чтобы найти одну из тысяч точек рандеву в Интернете, где он может искать новый код. Эти сближение точки используют уникальные доменные имена, такие как pwulrrog.org, что Conficker Cabal упорно трудилась, чтобы зарегистрировать и сохранить из рук преступников

[Дальнейшее чтение: Как удалить вредоносные программы из вашего компьютера с Windows].

Новый вариант B ++ использует тот же алгоритм для поиска рандевусных точек, но также дает создателям два новых метода, которые вообще пропускают их. Это означает, что наиболее успешную технику Кабала можно было обойти.

Conficker подвергся серьезному переписанию в декабре, когда был выпущен вариант B. Но эта последняя версия B ++ включает более тонкие изменения, по словам Фила Порраса, директора программы с НИИ. «Это более хирургический набор изменений, которые они сделали», - сказал он.

Чтобы взглянуть на вещи: в Conficker B было 297 подпрограмм; В B ++ было добавлено 39 новых подпрограмм, и были изменены три существующие подпрограммы, пишет SRI в отчете о новом варианте. B ++ предполагает, что «авторы вредоносных программ могут искать новые способы устранить потребность в точках доступа к Интернету в целом», - говорится в отчете.

Поррас не мог сказать, как долго Conficker B ++ находится в обращении, но он впервые появился 6 февраля, по словам исследователя, использующего псевдоним Jart Armin, который работает на веб-сайте Hostexploit.com, который отслеживал Conficker.

Хотя он не знает, был ли B ++ создан в ответ на работу Cabal, «он делает ботнет более надежный, и он смягчает некоторые из работ Кабала », - сказал в интервью по электронной почте руководитель службы поддержки Rick Wesson.

Также известный как Downadup, Conficker распространяется с использованием самых разных технологий. Он использует опасную ошибку Windows для атаки компьютеров в локальной сети, а также может распространяться через устройства USB, такие как камеры или устройства хранения. Все варианты Conficker теперь заразили около 10,5 миллионов компьютеров, согласно SRI.